Red Hatでは、全世界のニュースグループやメーリングリスト、ウェブサイト上で脆弱性情報をモニタし、どのパッケージにどのように影響するかを調査します。Red Hatではお客様の業務に与える影響によって脆弱性情報の深刻度を4段階に分類し、分類中最大のもの(Severity 1)であれば、パッケージに関連する開発者にオンラインおよび電話で迅速に連絡し、すでに問題が公開されてしまった場合、エンジニアの管理者に緊急のエスカレーションが割り当てられます。
さらに、アドバイザリ、エラータが作成され、品質チェックが行われるとRed Hat Networkにて公開されます。
セキュリティ対応の実績
Red Hatは2000年よりCVE(Common Vulnerabilities and Exposures)を利用してアドバイザリを発行しています。これは、発見された脆弱性に対する認識をRed Hatやオープンソースコミュニティの開発者間で共通化し、対応をより早く行うためです。
以下はRed Hat Enterprise Linux 3がリリースされてから最初の12ヶ月間に発行されたアドバイザリと、その問題を解決するために要した日数の統計です。注目すべきは、深刻な問題に関しては当日の修正が58%を占めているということと、リスクにさらされている期間の中央値はSeverityがLowのものを入れても13日間であるということです。
